Из-за западных санкций, владельцам веб-ресурсов нельзя купить или перевыпустить популярные SSL-сертификаты для национальных доменов России и Белоруссии. 

К сожалению, эти негативные перемены затронули не только нас, но весь отечественный рынок хостинга. Поэтому ниже мы разберем ситуацию в целом и расскажем, что делать тем владельцам сайтов, кто уже имеет или планирует использовать российские/белорусские ccTLD  домены

Суть проблемы

Из-за включения ряда российских и белорусских организаций/частных лиц в санкционный список Управления по контролю за иностранными активами (OFAC, Office of Foreign Assets Control) Минфина США, ведущие удостоверяющие центры (УЦ) — Sectigo (экс Comodo CA) и Digicert временно отменили выпуск новых и перевыпуск существующих сертификатов для национальных TLD доменов России и Белоруссии:

• .ru (.xn--p1ai);
• .su;
• .рф;
• .by;
• .бел (.xn--90ais).

Кстати. Хотя другие крупнейшие американские центры сертификации — IdenTrust, и GoDaddy, Certum пока не присоединились к санкциям Sectigo и Digicert, есть большая вероятность, что они могут начать отзыв  SSL-сертификатов из России.

При этом уже выписанные SSL-сертификаты для российских и белорусских ccTLD  доменов, сохранят свою ликвидность до конца срока действия.

Помимо продуктов самих Sectigo/Comodo и Digicert, под санкции попали такие популярные бренды SSL-сертификатов, как GoGetSSL, Thawte, Rapid, GeoTrust, а также связанные с ними решения в области сетевой безопасности (например, сканер Web Inspector). К запрету на выпуск для России и Белоруссии присоединились и поставщики бесплатных сертификатов ZeroSSL, Buypass и SSLs.com.

Запрет также затронул любые SSL-сертификаты с проверкой организации (OV, EV), содержащие в информации, прикрепленной к CSR-запросу (Certificate Signing Request, «запрос на выдачу сертификата»), страновые реквизиты «Россия»/«Беларусь» (RU/BY, Russia/Belarus).

Запреты на выпуск SSL по «региональному» признаку касается не только организаций и юридических лиц. Физические лица, живущие в России и Белоруссии, также лишены ведущими западными вендорами цифровых сертификатов возможности защитить свой ресурс с помощью криптографического протокола HTTPS.

То есть, даже если организация или частный владелец международного TLD домена, типа .com или .net, укажут в запросе на выпуск OV или EV SSL-сертификата информацию, что они как-либо связаны с Россией или Белоруссией (например, находится или зарегистрирована там), то он автоматически получит отказ.

Чем грозит отсутствие SSL

Для того чтобы понять, чем грозит сайту отсутствие или невозможность перевыпустить (продлить) SSL-сертификат, нужно сказать пару слов о том, как работает эта технология и для чего она предназначена.

Все современные браузеры требуют, чтобы обмен данными происходил по безопасному криптографическому протоколу HTTPS (HyperText Transfer Protocol Secure). Такая передача возможна только, если на веб-ресурс установлен сертификат SSL (англ. Secure Sockets Layer), подтверждающий его безопасный статус.

Кстати. Более поздняя версия технологии SSL получила название TLS (англ. Transport Layer Security), поэтому сегодня эти аббревиатуры используют как синонимы или вместе — SSL/TLS сертификат.

Если сайт или почтовый сервис не обладают сертификатом безопасности, они могут обмениваться информацией с браузером только по нешифрованному протоколу HTTP. Такие веб-ресурсы признаются ненадёжными и представляющими опасность для посетителей. Браузеры показывают каждому, кто пытается зайти на сайт без SSL-сертификата красноречивое предупреждение «Подключение не защищено». По сути, это равноценно блокировке.

Что делать

Несмотря на беспрецедентные ограничения, остается несколько возможностей обеспечить российские и белорусские национальные домены, а также сайты-резиденты надежным SSL-сертификатом и возможностью работать по безопасному протоколу HTTPS.

Решение №1. Установить бесплатный SSL-сертификат

К сожалению, большинство удостоверяющих центров и брендов, выпускавших бесплатные SSL/TLS сертификаты, присоединились к антироссийским санкциям более крупных коллег.  В «запретный» список попали: ZeroSSL, Buypass и SSLs.com

Доступные в России бесплатные SSL-сертификаты

• Let’s Encrypt — ведущий удостоверяющий центр, специализирующийся на выдаче бесплатных SSL/TLS сертификатов. Сертификаты выписываются в автоматическом режиме по протоколу ACME.
• FreeSSL.org — китайский центр сертификации (головной офис в Гонконге) предлагает бесплатные сертификаты, рассчитанные на 90 дней.

SSL Let’s Encrypt можно установить вручную на хостинге Eternalhost с возможностью автоматического обновления. Это проверенный вариант бесплатного SSL для сайта с максимальным для такого формата функционалом.

Главный минус Let’s Encrypt  — потенциальная уязвимость для давления. Этот американский удостоверяющий центр входит в число самых крупных поставщиков услуг по SSL/TLS сертификации, поэтому на него оказывается огромный нажим официальных властей. С другой стороны, это некоммерческая организация, для которой доверие пользователей также важно, как и отношения с финансовыми органами США.

Другие виды SSL-сертификатов также можно установить на нашем хостинге. Но уже на свое усмотрение — их работа не была протестирована специалистами Eternalhost.

Решение №2. Установить российский SSL-сертификат

Российским ответом на ограничения, наложенные западными компаниями, стало открытие первого в стране собственного Национального удостоверяющего центра (НУЦ) сертификации с правом выпуска корневого SSL/TLS сертификата. Первый российский центр сертификации SSL был создан для того, чтобы дать гражданам возможность свободно получать услуги и информацию на едином цифровом портале «Госуслуги».

К сожалению, его действие пока распространяется только на отечественные браузеры «Яндекс.Браузер» и «Атом». Остальные крупные браузеры и ОС не включили сертификат SSL/TLS от российского УЦ в собственные хранилища доверенных цифровых сертификатов безопасности.  Однако именно его рекомендует использовать для беспрепятственного доступа к «Госуслугам» официальный регулятор — Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры).

Установить русский SSL-сертификат от «Госуслуг» может любое юридическое лицо (владельцу сайта) по запросу, который решается в течение 5 дней. Скачать его можно непосредственно с сайта справочно-информационного портала.

Там же можно увидеть список доменов, на которые распространяется действие отечественного сертификата SSL/TLS. Именно эти ресурсы с подтвержденными сертификатами от российского НУЦ гарантированно работают в «Яндекс.Браузер», о чем компания официально объявила в своем блоге.

Кстати. Российские SSL-сертификаты выпускают не только «Госуслуги». В России есть еще один УЦ, принадлежащий компании Яндекс. Однако он не выпускает собственные корневые сертификаты TLS, а действует как центр сертификации второго уровня (Intermediate CA) на базе корневых SSL/TLS от одного из крупнейших европейских вендоров Certum Trusted Network CA.

Решение №3. Оформить сертификат без проверки компании

Запреты гигантов рынка SSL привязаны к конкретным странам и доменным зонам. Поэтому, если речь не идет о российских или белорусских национальных доменах, владелец сайта может просто оформить SSL-сертификат типа DV (domain validated), требующий проверки только по домену.